與傳統的接入方式相比,PPPoE具有較高的性能價格比,它在包括小區組網建設等一系列應用中被廣泛採用,目前流行的寬帶接入方式ADSL就使用了PPPoE協議。隨着低成本的寬帶技術變得日益流行,DSL(Digital Subscriber Line)數字用戶線技術更是使得許多計算機在互聯網上能夠酣暢淋漓的衝浪了。但是這也增加了DSL服務提供商們對於網絡安全的擔心。通過ADSL方式上網的計算機大都是通過以太網卡(Ethernet)與互聯網相連的。同樣使用的還是普通的TCP/IP方式,並沒有附加新的協議。另外一方面,調制解調器的撥號上網,使用的是PPP協議,即Point to Point Protocol,點到點協議,該協議具有用戶認證及通知IP地址的功能。PPP over Ethernet(PPPoE)協議,是在以太網絡中轉播PPP幀信息的技術,尤其適用於ADSL等方式。
0xC021——信息字段是鏈路控制數據LCP
0x8021——信息字段是網絡控制數據NCP
0xC023——信息字段是安全性認證PAP
0xC025——信息字段是LQR
0xC223——信息字段是安全性認證CHAP
0x8863 | Discovery Stage |
0x8864 | PPP Session Stage |
0x00 | PPP Session Stage |
0x09 | PPPOE Active Discovery Initiation (PADI) packet |
0x07 | PPPOE Active Discovery Offer (PADO) packet |
0x19 | PPPOE Active Discovery Request (PADR) packet |
0x65 | PPPOE Active Discovery Session-confirmation (PADS) packet |
0xa7 | PPPOE Active Discovery Terminate (PADT) packet |
0x0000 End-Of-List
0x0101 Service-Name
0x0102 AC-Name
0x0103 Host-Uniq
0x0104 AC-Cookie
0x0105 Vendor-Specific
0x0110 Relay-Session-Id
0x0201 Service-Name-Error
0x0202 AC-System-Error
0x0203 Generic-Error
PPPoE在BAS上的實現
PPPoE撥號軟件在應用中已經很成熟(Windows XP以上版本自帶),下面重點討論PPPoE在接入服務器BAS中的實現方式。
3.1PPPoE的效率
從PPPoE協議模型可以看出,BAS匯聚了用戶的所有數據流,它必須將每一個PPPoE包都拆開檢查處理,這在很大程度上是沿襲了傳統的PPP處理的方式,雖然有很好的安全性,但一旦用戶很多,數據包數量很大,解封裝速度就需要很快,BAS很大的精力花在檢測用戶的數據包上,容易形成接入的“瓶頸”。
爲此,在BAS的硬件結構上可以採用分佈式網絡處理器(NP)和ASIC芯片設計。網絡處理器是專門針對電信網絡設備而開發的專用處理器,它有一套專門的指令集,用於處理電信網絡的各種協議和業務,可以大大提高設備的處理能力。同時,ASIC芯片轉發數據包時接近硬件的轉發性能,遠非CPU軟件方式可比,採用這種方式將PPPoE數據流的處理與轉發分開,工作效率大大提高。此外在軟件系統結構上還應該與其他技術相結合,更好地發揮PPPoE的性能。
3.2PPPoE與VLAN的結合
VLAN即虛擬局域網,是一種通過將局域網內的設備邏輯地劃分成一個個不同的網段,從而實現虛擬工作組的技術。劃分VLAN的目的,一是提高網絡安全性,不同VLAN的數據不能自由交流,需要接受第三層的檢驗;二是隔離廣播信息,劃分VLAN後,廣播域縮小,有利於改善網絡性能,能夠將廣播風暴控制在一個VLAN內部。
PPPoE是一個客戶端/服務器協議,客戶端需要發送PADI包尋找BAS,因此它必須同BAS在同一個廣播式的二層網絡內,與VLAN的結合很好地解決了這方面的安全隱患。此外通過將不同業務類型的用戶分配到不同的VLAN處理,可以靈活地開展業務,加快處理流程,當然VLAN的規劃必須在二層設備和BAS之間統一協調。
BAS收到上行的PPPoE包後,首先判別VLAN ID的所屬類別,如果是普通的撥號用戶,則確定是Discovery階段還是會話階段的數據包,並嚴格按照PPPoE協議處理。在會話階段,根據不同的用戶類型從不同的地址池中向用戶分配IP地址,地址池由上層網管配置。如果是已經通過認證的用戶的數據包,則根據該用戶的服務類型處理,比如,如果是本地認證的撥號用戶,且對方也申請有同樣的功能,則直接由本地轉發。
如果是專線用戶,則不用經過PPPoE複雜的認證過程,直接根據用戶的VLAN ID便可進入專線用戶處理流程,接入速度大大提高。此外爲了統一網管,在BAS與其他設備之間需要通信,這些數據包是內部數據包,也可根據VLAN ID來辨別。
對於下行數據,由於BAS負責分配和解析用戶的IP,兼有網關的功能,它收到數據包的目的IP是用戶的,因此以IP爲索引查找用戶的信息比根據MAC要方便得多,這一點與普通的交換機有所不同,具體過程跟上行處理差不多。
3.3PPPoE對多業務選擇的支持
多業務選擇指的是用戶通過一條終結到BAS的PPP連接來自主地選擇後臺網絡運營商所提供的多種業務。之所以要支持多業務的選擇,一方面是因爲各種業務的具體實現在技術上的側重點是不同的,對網絡性能的要求也不盡相同,以前採取的固定分配的方式非常不便;另一方面,從網絡應用的發展看,網絡內容服務供應商ICP與網絡接入商ISP的分離是必然趨勢,在接入匯聚側,ISP必須嚴格保證將用戶選擇的業務流轉發到相應的ICP中去。
目前採用的方法是用戶先在PPPoE撥號軟件中選擇相應的業務,然後對用戶進行業務授權確認,最後激活BAS內部相應的處理模塊。但是採用這種方式,用戶只能知道業務的名字,無法直觀地、全面地獲知BAS提供的各種業務類型,特別是在新業務的開展上十分困難,有很大的侷限性。
因此可以將BAS與後臺業務選擇網關及RADIUS服務器相配合,採取先認證後選擇業務的方式,具體操作如下:
(1)主機發送PADI尋找BAS,PADI中包含一個服務名類型的TAG,它的值爲空,表示該用戶可以接受任何類型的服務。
(2)BAS收到包後回送PADO,PADO中包含所有可以提供的服務的TAG,同時,還包含一個服務名爲General的TAG。
(3)主機發送PADR。用戶選擇已知的服務名,也可以選擇General服務。
(4)BAS收到PADR包後爲用戶分配資源,並開始PPP協商過程。在PPP過程中,BAS將用戶輸入的賬號和密碼等信息送到RADIUS服務器上認證。
(5)通過認證的用戶,享受BAS提供的該項服務,但如果選擇的是General,則被強制訪問與BAS直連的服務選擇網關。後臺的服務選擇網關是一臺具有Web Server功能的服務器,用戶可以通過Web的交互式界面得到可選擇業務的相關信息(包括費用、帶寬等),同時顯示該用戶賬號對應的信息。
(6)用戶選擇相應的業務,同時服務選擇網關會定義各種用戶的業務範圍和操作權限。
(7)服務選擇網關激活接入服務器內部相應的業務模型實現該業務。以上方式是嚴格按照PPPoE協議執行的,與當前流行的撥號軟件完全兼容,如果用戶對其他的業務根本不感興趣而對已申請的業務非常熟悉,也不影響用戶的習慣。
從BAS的角度考慮,PPPoE的操作流程也沒有什麼改變,只是多添了一種服務類型而已。如果運營商當前沒有服務選擇網關,可以通過網管配置,在對PADI包的迴應時不包含General服務就可以了。